Cri du cœur : les mots de passe - Décryptualité du 13 janvier 2020

Point d'interrogation, Peggy_Marco, Pixabay

Titre : Décryptualité du 13 janvier 2020 - Cri du cœur : les mots de passe
Intervenant·e·s : Mag - Manu
Lieu : April - Studio d'enregistrement
Date : 13 janvier 2020
Durée : 14 min
Écouter ou télécharger le podcast
Revue de presse pour la semaine 2 de l'année 2020
Licence de la transcription : Verbatim
Illustration : Point d'interrogation, Peggy_Marco, Pixabay - Licence Pixabay
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Voix off de Luc : Décryptualité.

Voix off de Nico : Le podcast qui décrypte l’actualité des libertés numériques.

Manu : Semaine 2, année 2020. Bonjour Mag.

Mag : Salut Manu.

Manu : Comment ça va ? On n’a pas de Luc cette fois-ci.

Mag : Non, il est en voyage.

Manu : Oui, pour le travail.

Mag : Ce n’est pas cool pour le travail, on ne profite pas de là où on est, c’est dommage.

Manu : Il nous racontera en revenant. D’ici là on a une jolie revue de presse cette semaine.

Mag : Plusieurs articles. On va commencer par Le Monde Informatique, « Open source et financement : une relation ambiguë », par Matt Asay.

Manu : Qui se base sur une étude qui a été faite notamment à propos de librairies JavaScript et qui montre que les plus populaires peuvent rapporter de l’argent mais que ça reste compliqué. J’ai noté dans l’article que notamment l’auteur de Vue.js, une library de JavaScript très connue, gagne 16 000 dollars par mois. C’est du Libre, il est très aidé par beaucoup d’entreprises parce que c’est une library vraiment très populaire en ce moment. C’est assez extraordinaire, mais ce n’est pas le cas pour la plupart des auteurs de logiciels libres en général, donc il faut quand même les aider.

Mag : Et c’est fort dommage ! De nouveau Le Monde Informatique, « Jean-Séverin Lair prend ses fonctions à la tête du programme Tech.gouv », par Bertrand Lemaire.

Manu : C’est une nomination que l’on suit parce que ce genre de poste va ensuite avoir des impacts sur ce que l’on fait en général au niveau institutionnel, à l’April notamment ; ça concerne le logiciel libre, l’open data et plein d’initiatives qui sont en lien.

Mag : Next INpact, « Qwant Mail : le #fail de Linagora (¤ », par Jean-Marc Manach.

Manu : C’est compliqué comme sujet. On en a déjà beaucoup parlé parce que Qwant c’est le Google à la française, soi-disant. En plus de ça, récemment, ils ont décidé que les administrations françaises allaient l’installer par défaut sur les postes, ce qui est plutôt bien, en tout cas moins pire que ce l’on avait souvent. Par ailleurs Qwant n’a pas mal de soucis, de difficultés. Là c’est le PDG qui part, il y a des difficultés avec une des briques qu’ils étaient en train de monter, qui était là pour faire du mail, qui a normalement été faite par Linagora et qui est un échec.

Mag : C’est de nouveau un article de Jean-Marc Manach qui continue, du coup, sur sa lancée « qwantienne ». Silicon, « Le Bot de demain : vers un service citoyen universel? », par Doriane Dupuy-Lenglet.

Manu : Bot, c’est plutôt dans un sens particulier que c’est utilisé ici, ce sont les robots que l’on a sur Internet : quand vous êtes sur un site web, vous aidez à utiliser le service à poser des questions, avoir des réponses plus facilement. C’est très à la mode en ce moment. Il y a beaucoup de développement sur ceux-là, il y a beaucoup de difficultés aussi. En tout cas on peut s’attendre à ce que ce soit quelque chose qui va aider tous les citoyens et qui va de plus en plus nous permettre d’accéder facilement aux services de l’État par exemple.

Mag : Si ça reste neutre et libre, moi ça me va !

Manu : Justement, il faut que ce soit libre et que ça s’appuie sur de l’interopérabilité, de l’open data, pour vraiment être citoyen au sens noble du terme.

Mag : ZDNet France, « Pus de 100 000 œuvres d'art de musées parisiens en libre accès sur la toile », par Clarisse Treilles.

Manu : C’est de la dématérialisation de biens culturels et c’est vraiment très bien, une superbe initiative. Ce sont des œuvres qui sont en général déjà dans le domaine public mais qui ne sont pas diffusées ou pas facilement accessibles sur Internet, de qualité en plus. Donc c’est une initiative qui est juste géniale.

Mag : C’est d’ailleurs une très bonne nouvelle. Et le dernier article : LeMagIT, « Avec un ami comme AWS, qui a besoin de l'open source ? », par Cliff Saran.

Manu : AWS, comme tu as hésité à le dire, c’est Amazon Web Services.

Mag : Ah !

Mag : Amazon fait plein de choses sur Internet, du cloud, du nuage et, dans ses nuages, il y a beaucoup de logiciels libres et justement, une problématique, c’est que ces logiciels libres sont cachés derrière un brouillard des services qui sont fournis par Amazon, qui sont sûrement très utiles et pratiques, mais ils ne jouent pas tout à fait le jeu, on va dire, d’une communauté de développement libre, d’innovations mises en commun.

Mag : Ce n’est pas étonnant venant d’Amazon !

Manu : Ce n’est pas tout à fait étonnant, donc il y a beaucoup de bagarres qui s’appuient notamment sur les licences pour essayer de les obliger à jouer le jeu en utilisant des licences, mais malheureusement, pour le coup, qui ne sont pas tout à fait libres. Donc ça reste compliqué, il y a tout un combat qui va continuer et je suis sûr qu’on va en reparler parce que le nuage c’est quand même un gros sujet en informatique et dans le logiciel libre notamment.

Mag : Affaire à suivre donc.

Manu : Maintenant de quoi va-t-on parler ?

Mag : D’un cri du cœur.

Manu : Un cri du cœur ! Qu’est-ce qui t’arrive ?

Mag : Hier soir on avait une conversation avec des amis sur les mots de passe.

Manu : Les mots de passe. Où est le problème ?

Mag : Il y a plein de problèmes avec les mots de passe. Typiquement ce matin j’ai perdu deux heures à essayer de me connecter sur mon propre logiciel de comptabilité. J’ai essayé tous les mots de passe et on me disait « non, non » et je ne comprenais pas pourquoi ces mots de passe ne fonctionnaient pas et que je n’arrivais pas à me connecter. Je me disais « décidément je n’ai pas de chance aujourd’hui ! » Cet après-midi je vais sur le site de ma banque et là je recommence avec un mot de passe, je me trompe trois fois et j’ai été totalement révoquée.

Manu : Blocage complet. Bonne chance pour accéder à tes comptes.

Mag : Blocage total, je ne pouvais même plus accéder à ma banque et je me suis dit « je suis maudite quoi ! » En moins de 24 heures je perds énormément de temps avec des mots de passe et je me dis « comment font les autres ? » Est-ce qu’on peut en parler ce soir ?

Manu : Effectivement, les stratégies de mots de passe c’est un sujet qui est vaste et qui est généralement lié à la sécurité pour les accès à nos comptes. Les mots de passe sont là pour, soi-disant, nous protéger, éviter que n’importe qui accède, mais, en même temps, régulièrement ils nous protègent tellement bien que même nous on n’arrive plus à accéder, la preuve. On a tous des stratégies pour les gérer et il y a toute une palette de ces stratégies qui vont de la plus simple à la plus compliquée, de la plus performante à la plus nulle. Là, il faut croire que ta stratégie n’est pas bonne.

Mag : Ça se discute mon problème de stratégie ! Parce que pour mon premier problème, mon mot de passe était le bon, c’était mon identifiant qui n’était pas bon !

Manu : Ah ben oui ! Il y a toujours un couple !

Mag : Mot de passe ça veut dire « identifiant, mot de passe », ça fait deux informations à retenir, si on est un peu fatigué, eh bien pouf ! On peut se tromper sur l’une des deux. Et le deuxième, l’après-midi, c’est mon mot de passe qui était faux, je n’avais pas noté le bon !

Manu : Maintenant qu’est-ce que tu vas faire ? Tu vas les noter tes mots de passe : un Post-it, une feuille de papier.

Mag : Il y a effectivement la méthode de noter son mot de passe, il y a des gens qui font, comme tu dis, Post-it, papier, petit truc qui traîne. Il y a même des éditeurs, je me rappelle, je crois que c’est First qui avait dans sa collection « Le Petit Livre de… » à 2,95 euros, qui avait dit : « Notez tous vos mots de passe ». Donc vous avez un petit livre.

Manu : Un petit livre papier.

Mag : Un petit livre papier et vous remplissez le site, le mot de passe, le site le mot de passe, le site le mot de passe, donc identifiant et mot de passe. Je vous le conseille, ce n’est pas mal comme idée sauf que si ça tombe entre de mauvaises mains !

Manu : Si on le perd, s’il est brûlé ou s’il est abîmé, il a pris l’eau, il est resté dans un pantalon pendant la machine à laver, on est mal !

Mag : On perd tout !

Manu : On perd tout. Donc ça c’est une première stratégie qui n’est pas forcément recommandée. Effectivement, c’est un peu l’équivalent du Post-it et ça fait toujours rire. Chez les informaticiens que je côtoie c’est le genre de chose qui nous fait toujours très peur parce qu’un Post-it c’est facilement accessible à d’autres personnes que celle à laquelle c’est destiné. Une autre solution c’est d’utiliser toujours le même mot de passe. Non ?

Mag : Ça c’est aussi dangereux, parce qu’il suffit qu’on récupère le mot de passe, n’importe qui.

Manu : Pour un site.

Mag : Pour un site, et il peut être utilisé pour tous les autres sites.

Manu : Pourtant il y a plein de gens qui font ça et, au final, c’est presque obligé étant donné que régulièrement, quand on est des citoyens d’Internet comme on l’est tous les deux, on a plein de sites auxquels on doit se connecter en permanence, des dizaines peut-être même des centaines de sites différents, donc avoir un mot de passe pour tous ou à peu près un mot de passe.

Mag : C’est une mauvaise idée, laisse tomber !

Manu : Oui. Mais c’est une stratégie qui est viable pour notre mémoire.

Mag : C’est une mauvaise idée. Si tu veux vraiment faire travailler ta mémoire, eh bien tu la fais travailler en retenant tous tes mots de passe.

Manu : Mais pour des dizaines et des centaines de sites web ça me paraît impossible, en tout cas je n’arrive pas à dépenser cette énergie-là.

Mag : Oui, mais à 75 ans tu auras encore de la mémoire.

Manu : Si jamais je m’entraîne à faire ça ? Je ne sais pas si c’est une recommandation qu’on peut faire à tout le monde. En plus de ça, il y a des sites qui t’obligent à changer régulièrement ton mot de passe. Tous les trois mois, tous les six mois ils te disent : « Au nom de notre politique de sécurité vous devez changer votre mot de passe » et non seulement on peut t’obliger à changer ton mot de passe, je l’ai fait en tant que programmeur, mais, en plus, on peut t’empêcher de réutiliser un de six derniers mots de passe que tu avais utilisés dans le passé. Et ça c’est vraiment très pénible, mais je crois que c’était des recommandations que le FBI mettait en avant à une époque. Je te rassure, la personne qui a fait ces recommandations, obliger les utilisateurs à changer leurs mots de passe régulièrement, a depuis changé d’avis et considère que c’est une très mauvaise pratique parce que les utilisateurs qu’est-ce qu’ils font ? Ils rajoutent 1, 2, 3, 4, 5, 6 à leur mot de passe initial et ça fait l’affaire, même si c’est juste nul et pénible.

Mag : Vraiment nul ! Autre méthode, c’est se poser des règles, des principes qui vont permettre, suivant le site où on est, d’avoir un mot de passe qui sera généré.

Manu : Donc une sorte d’algorithme : je suis sur un site donné, il a une couleur bleue, il a des fontes en blanc, donc je vais mettre un mot de passe à base de bleu, blanc, quelque chose.

Mag : Ou alors le mot de passe sera très long : je suis sur un site avec un fond bleu et blanc.

Manu : Il faut bien s’en rappeler alors !

Mag : Il faut bien s’en rappeler, mais c’est un moyen mnémotechnique.

Manu : Pour le coup souvent va avoir une base, donc là « je suis sur un site » et le reste va dépendre du site sur lequel on est et, effectivement, ça permet de générer des mots de passe qui sont à peu près différents d’un site à l’autre, sauf si tu passes à un site qui a les mêmes couleurs à chaque fois.

Mag : Là ce n’est pas de chance !

Manu : Ce n’est pas de chance ! En tout cas ça fait quelque chose d’assez solide et plutôt long.

Mag : Il avait quelque chose qui était très à la mode à une époque, on remplaçait certaines lettres par des chiffres : le « e » était remplacé par le « 3 », le « o » par des « 0 », le « a » par des « 4 » et on prenait un moyen mnémotechnique avec des chiffres qui remplaçaient certaines lettres.

Manu : Ça s’appelle le leet speak, leet écrit « l33t », en fait ça vient d’« élite », c’est la façon de parler d’une manière soi-disant élitiste, ça marche bien avec les claviers mais ça ne marche pas à l’oral, forcément. Effectivement il y a plein de gens qui utilisent ce genre de mécanisme pour s’amuser avec les lettres. Remplacer, par exemple, un « o » par un « 0 », c’est assez simple et ça permet de passer outre certaines règles : on est obligé de mettre un chiffre dans un mot de passe, eh bien voilà, on remplace un « o » par un « 0 », cette règle est remplie automatiquement, c’est assez pratique.

Mag : Ça me rappelle les jeux débiles que je faisais avec ma Casio : je tapais des chiffres et quand je retournais la Casio ça faisait un mot.

Manu : C’est exactement ça. Pour information, je me suis intéressé au sujet : il y a des crackers de mots de passe qui existent sur Internet, donc des outils qui vont essayer, à base de dictionnaires et à base de différentes règles, de deviner des identifiants et des mots de passe sur différents sites, et malheureusement le leet speak est assez utilisé par ces crackers, ils vont faire plein de substitutions qui sont les substitutions les plus communes, par exemple un « o » en « 0 », je pense que ça fait partie des substitutions qu’ils vont souvent tester. Donc ce n’est pas forcément la meilleure stratégie qui soit, mais, ceci dit, c’est quand même une bonne idée d’avoir une sorte d’algorithme selon le site sur lequel et, grâce à cela, générer un mot de passe qui sera à chaque fois différent.

Mag : Autre solution, mais là c’est quand on est vraiment sur un ordinateur privé, il ne faut pas le faire sur n’importe quel ordinateur et surtout pas sur un ordinateur public, avoir confiance dans son navigateur.

Manu : Si on utilise son navigateur pour accéder à ses mails, à sa banque, à ses comptes de comptabilité, effectivement ça peut marcher. Ça va marcher dans tous les cas ? Qu’est-ce qui se passe si jamais ton navigateur est attaqué, ton ordinateur est récupéré par quelqu’un ? Et qu’est-ce que si se passe si tu veux accéder à tes sites depuis un autre ordinateur ou depuis un téléphone portable ?

Mag : Alors voilà ! Ça ne marche qu’avec l’ordinateur qu’on a à la maison dans l’espoir qu’il ne meure pas soudainement et qu’il vous laisse le temps récupérer vos données dans le cas où vous vouliez en changer et que vous ne vous le fassiez pas voler, bien sûr. Mais c’est efficace. Pour des sites bateaux où il n’y a aucun risque, Firefox a un petit onglet où vous pouvez même aller même les récupérer, ils sont masqués, il suffit de demander qu’ils soient démasqués, mais vous pouvez récupérer vos mots de passe, récupérer l’intégralité de vos mots de passe quand vous changez d’ordinateur.

Manu : Moi, pour information, c’est effectivement un mécanisme que j’utilise beaucoup et qui est très pratique : Firefox1 normalement ; Chrome aussi le permet. Ils peuvent stocker les mots de passe, ils peuvent avoir un mot de passe maître qui sera nécessaire pour débloquer tous les autres mais pas toujours utilisé malheureusement. Ceci dit, c’est une couche de sécurité assez solide en plus et, normalement, il y a moyen de partager ses mots de passe en utilisant des services Google ou Mozilla qui vont les héberger sous des formes normalement peu lisibles, mais ça va permettre de les réutiliser entre ces différentes plateformes, en tout cas c’est ce que j’en comprends, parce que je n’utilise ça pas personnellement.

Mag : Aller faire héberger mes mots de passe ailleurs que chez moi ! Je ne suis pas très confiante !

Manu : Il y en a qui se promènent avec des clés sur lesquelles ils stockent tout et comme cela ils sont à peu près protégés du fait d’avoir leur ordinateur qui va disparaître, de vouloir se connecter sur un autre poste. Avec cette clé-là ils ont une sorte d’indépendance, par contre il faut faire attention à la clé.

Mag : Voilà. Il ne faut pas la perdre. Et puis il y a la méthode geek.

Manu : La méthode la plus difficile, quoi !

Mag : la plus difficile ! Je ne sais pas si c’est difficile parce que quasiment tous nos potes geeks le font, ils ont un gestionnaire de mots de passe.

Manu : C’est l’équivalent de ce que fait Firefox, mais dans un logiciel dédié.

Mag : Voilà. Et à priori, basé sur leur propre serveur auquel ils peuvent accéder quel que soit l’ordinateur sur lequel ils sont, enfin j’imagine.

Manu : Ça dépend des logiciels gestionnaires de mots de passe. Je ne les connais pas tous, mais les quelques-uns que j’ai vus, effectivement il y en a qui permettent de stocker un fichier chiffré où on veut, mais ce n’est pas toujours utilisé comme cela, ce n’est pas toujours facile à utiliser. Il existe des services qui te proposent de le faire, d’héberger pour toi tes fichiers de mots de passe.

Mag : Je ne suis toujours pas sereine de le faire ailleurs que chez moi !

Manu : Dans ces cas-là, si on utilise un gestionnaire de mots de passe, bien sûr on a un mot de passe maître, en tout c’est ce qui est recommandé.

Mag : Il ne faut pas l’oublier celui parce que sinon tu es foutu !

Manu : Il ne faut pas l’oublier et le gestionnaire de mots de passe à des mécanismes pour te faciliter la vie, avec le login, avec l’identifiant, pour pouvoir le copier facilement, remplir ou préremplir le navigateur quand on va aller sur le navigateur. Il y a des mécanismes qui facilitent la vie, mais ce n’est quand même pas aussi bien intégré que le gestionnaire interne de mots de passe de Firefox.
Ça veut dire que maintenant tu vas te mettre au gestionnaire de mots de passe centralisé ou, en tout cas, au gestionnaire de mots de passe dédié ?

Mag : J’y réfléchis.

Manu : Tu y réfléchis parce que là, franchement, tu as souffert en plus pour te rendre compte que tu t’étais trompé sur les identifiants, c’est un peu dommage !

Mag : On ne se moque pas !

Manu : Non. En même temps je ne vais pas me moquer longtemps parce que ça m’arrive aussi régulièrement.

Mag : D’ailleurs je remercie tous les copains de Framasoft2 qui m’ont envoyé des câlins sur Signal3 pour me réconforter de mon énervement « mots de passe ».

Manu : Ça arrive à tous, on est bloqué à la porte. C’est vraiment l’équivalent de devoir demander à un serrurier de passer : vous avez peut-être même la clé ou vous l’avez cassée ou la serrure est cassée pour une autre raison, le serrurier va venir débloquer tout ça, mais quand on est en informatique ce n’est pas toujours possible d’avoir un serrurier qui vienne aider.

Mag : Et c’est là où on voit les sites intelligents, ceux qui vous disent : « Vous avez oublié votre passe, générez-en un nouveau » et ceux qui ne disent rien !

Manu : Se méfier ! D’ailleurs ce qui m’amuse toujours ce sont les sites web qui te proposent de te renvoyer ton mot de passe et ça c’est mauvais signe, parce que s’ils connaissent ton mot de passe ça veut dire qu’ils l’ont quelque part en clair.

Mag : En clair !

Manu : Et ça c’est très mauvais signe. Par contre, régénérer un mot de passe ou régénérer un lien sur lequel il faut cliquer pour accéder à nouveau au site web, ça c’est plutôt solide, en tout cas en comparaison, par contre il faut faire attention à son adresse e-mail et s’assurer que personne d’autre n’y a accès, qu’on ne l’a pas perdue, parce que tout passe par là.

Mag : Et éviter de révoquer les mots de passe sur vos comptes bancaires. Bref, on ne remerciera pas le Crédit Mut et on saluera la BRED qui a fait un meilleur site.

Manu : Sur ce je te propose qu’on rediscute de tes aventures la semaine prochaine peut-être. Je te dis à la semaine prochaine.

Mag : À la semaine prochaine.